Der NSA ein Schnippchen schlagen, Teil 2: Komfortable E-Mail-Verschlüsselung mit S/MIME

21.12.2013 |  Von  |  Neue Medien, Weltgeschehen
Der NSA ein Schnippchen schlagen, Teil 2: Komfortable E-Mail-Verschlüsselung mit S/MIME
Täglich auf dem Laufenden mit dem polizei.news Newsletter!

Wer nicht will, dass Big Brother mitliest, sollte seine E-Mails verschlüsseln. PGP ist hierzu das bekannteste Tool.

Seine Benutzung ist jedoch mit einem gewissen Aufwand verbunden. Diese Usability-Lücke schliesst S/MIME. Wir erklären das praktische Verfahren im zweiten Teil unserer Serie zu digitalen Bürgerwehr.

S/MIME steht für „Secure/Multipurpose Internet Mail Extensions“, also „Sichere/Multifunktionale Internet Mail Erweiterung“. Grundsätzlich sind sie PGP und S/MIME ziemlich ähnlich, wenn auch nicht kompatibel. Der Clou an S/MIME liegt in dem Wörtchen „Erweiterung“. Aber dazu später mehr.[/vc_column_text][vc_message color=“alert-info“ style=“rounded“]Dieser Artikel ist Teil der Serie „Der NSA ein Schnäppchen schlagen“:

Teil 1: E-Mails mit PGP verschlüsseln

Teil 2: Komfortable E-Mail-Verschlüsselung mit S/MIME

Teil 3: E-Mail-Verschlüsselung auf dem Smartphone

So richten Sie S/MIME ein

Genau wie PGP basiert das Verschlüsselungsverfahren auf einem Schlüssel-Schloss-Paar. Dabei ist wiederum das Schloss öffentlich, also zum Weitergeben gedacht, und der Schlüssel privat, zum Entschlüsseln empfangener Nachrichten. An ein Schlüssel-/Schloss-Paar kommt man allerdings nur über ein sogenanntes X.509-Zertifikat, welches man bei einer Zertifizierungsstelle erhält. Was sich zunächst nach viel Bürokratie anhört, ist jedoch in wenigen Minuten erledigt. Zertifizierungsstellen gibt es mehrere, zum Beispiel Comodo, …., oder … . Dort muss man seinen Namen, die E-Mail-Adresse, das Land und die Grösse des Keys angeben. Zur Wahl stehen 512, 1024 oder 2048 Bits.

Die Zertifikate sind in Klassen eingeteilt. Die Klasse 1 gilt für ein Jahr und ist kostenlos. Die Klassen 2 und 3 sind kostenpflichtig und unterscheiden sich von Klasse 1 wie folgt:

Klasse 1:

Es wird nur die Existenz der E-Mail-Adresse geprüft.

Klasse 2:

Es werden neben der E-Mail-Adresse noch der Name sowie ggf. die Firma oder Organisation anhand von Drittdatenbanken und Ausweiskopien geprüft.

Klasse 3:

Hierfür muss man sich persönlich bei der entsprechenden Stelle ausweisen.

Für die meisten Privatnutzer sollte Klasse 1 ausreichen. Denn bereits hiermit ist dem Gegenüber versichert, dass die E-Mail-Adresse echt ist, und auch bei Klasse 3 wird kein anderes Verschlüsselungsverfahren angewendet.

Nach Bestellen des Zertifikats erhält man innerhalb von zwei bis fünf Minuten eine E-Mail. In dieser enthalten ist ein Link, der zum Download einer .p7s-Datei führt. Ein Doppelklick darauf öffnet die Schlüsselbundverwaltung (in Mac OS X ein betriebssystemeigenes Programm), die fragt wo das Zertifikat abgelegt werden soll.

Was danach folgt, ist denkbar einfach: Man öffnet das E-Mail-Programm und öffnet es erneut. Möchte man eine Mail versenden, findet man neben dem grünen Hinweis auf OpenPGP noch einen kleinen Pfeil zur Umstellung auf S/MIME. Die Buttons zum Verschlüsseln und Signieren einer E-Mail unterscheiden sich dabei nicht von denen für PGP. Nach der ersten E-Mail kann man dem Schlüssel sogar dauerhaften Zugang gewähren.

So verwenden Sie S/MIME

Unter Windows muss man einen kleinen Umweg gehen, da das Zertifikat nach Bestellung im Browser erst ex- und dann ins E-Mail-Programm (z.B. Thunderbird) erst importiert werden muss, und zwar unter dem Menüpunkt „S/MIME-Sicherheit“.

Im Dauereinsatz erweist sich S/MIME als wesentlich praktischer als PGP. Zum einen erkennt das E-Mail-Programm selbstständig, wann eine verschlüsselte Nachricht ankommt; man kann dann automatische eine S/MIME-verschlüsselte Mail zurückschreiben. Die ganze Schlüsselbundverwaltung, bei PGP noch manuell, entfällt hier also für den Nutzer. Zum anderen muss man keine Passphrase eingeben, wenn man eine E-Mail verschicken oder öffnen möchte.  Sie erscheint stets im Klartext – dass sie echt ist und verschlüsselt ankam, erkennt man an den Icons in der Detailansicht der E-Mail-Kopfzeile.

Was man beachten muss

Mit S/MIME lässt sich nur der Inhalt der E-Mail verschlüsseln. Der Betreff und die Metadaten (also mit wem man wann und wie oft schreibt) bleiben unverschlüsselt. Deshalb sollten sensible Informationen im Fall der Fälle nicht in den Betreff geschrieben werden. Ausserdem muss man sich bewusst sein, dass gerade die Metadaten für die Geheimdienste oft von grösserem Interesse sind.

Fazit

S/MIME ist die benutzerfreundliche Alternative zu PGP. Wer bei PGP noch die Schlüsselbundverwaltung und ständige Passworteingabe als Grund anführte, keine Verschlüsselung zu benutzen, hat hier keine Ausrede mehr. Allerdings löst auch S/MIME nicht das Problem der Metadaten. Hierfür steht allerdings schon die „Dark Mail Alliance“ in den Startlöchern. Die Gründer von Lavabit (Edward Snowdens ehemaligem E-Mail-Dienst) und Silent Circle wollen die „E-Mail 3.0“ etablieren, bei der alles verschlüsselt ist.

 
Titelbild:© VERSUSstudio – Fotolia
Im nächsten Teil der Serie: E-Mail-Verschlüsselung auf Mobilgeräten

Täglich auf dem Laufenden mit dem polizei.news Newsletter!

4 Kommentare


  1. S/MIME ist zwar schön einfach, aber es muss einer zentralen Stelle vertraut werden. Dort bietet PGP bessere Ansätze.
    Wichtig ist noch das die Zertifikate auch immer gut gespeichert werden. Durch die auf ein Jahr beschränkte Gültigkeit wechselt man vielleicht auch mal den Zertifikat-Anbieter. Werden dann die früher verwendeten Zertifikate bei einer Neuinstallation des Betriebsystems vergessen werden, kommt man nicht mehr an die alten E-Mails ran.

    • Und vertraue ich meinem Gerät (Windows-PC, Android, iOS-Gerät) soweit das ich dem Gerät meinen private-key anvertraue? Denn das muss ich ja zwangsläufig.

      Wenn dort ein Backdoor existiert kann ich mir das alles sparen.

      • Hier hab ich was zu Deiner Frage gefunden:

        Die Verschlüsselung ist so lange sicher, wie niemand den geheimen Schlüssel aus dem Zertifikat-Manager von Thunderbirdauf Ihrem Rechner stiehlt! Dies könnte zum Beispiel der Staat mit dem Bundestrojaner tun. Maßnahmen zur Sicherheit:

        Löschen Sie Ihr Zertifikat aus dem Firefox-Profilmanager.
        Verwenden Sie für den Export des geheimen Schlüssels ein Passwort, das mind. 12 Stellen hat (7 ist absolutes Minimum) und mit einem Passwortgenerator erzeugt wurde.
        Speichern Sie das Passwort in einer Textdatei, die Sie in einen TrueCrypt- (oder RealCrypt-) Container ablegen oder zumindest mit Steganos-Locknote schützen. In einem Container sollten Sie auch Dateien mit geheimen Schlüsseln und die XCA-Datenbank ablegen.
        Verwenden Sie in Thunderbird ein Masterpasswort (Extras >> Einstellungen >> Sicherheit >> Passwörter)
        Wenn Sie das Betriebssystem Microsoft Windows verwenden, ist die Gefahr einer Infizierung und Ausspionierung durch Viren, Trojaner und Würmer besonders groß. Linux ist sicherer, in vieler Hinsicht besser, kostenlos und inzwischen auch einfach und komfortabel.
        In Ihrem Epostprogramm sollten Sie bei den Server-Einstellungen und beim Postausgangsserver (SMTP) bei Verbindungssicherheit „STARTTLS“ oder „SSL/TLS“ einstellen (wenn Ihr Provider das zuläßt). Damit ist das Abfangen von Ebriefen erschwert.

        Quelle: von-wachter.de/smime.htm

    • Vielleicht ist das hier eine Lösung des Problems (leider auf Englisch):

      http://www.howtoforge.com/how-to-encrypt-mails-with-ssl-certificates-s-mime

      Grüße

      Alin

Trackbacks

  1. Jahresabschluss im NSA-Skandal: Offener Brief der Internetkonzerne und Weihnachtsansprache von Snowden | newsbloggers
  2. Der NSA ein Schnäppchen schlagen, Teil 1 – E-Mails mit PGP verschlüsseln | newsbloggers
  3. business24 › Gefährlich ist nur Schweigen – wie man mit Kritik richtig umgeht

Ihr Kommentar zu:

Der NSA ein Schnippchen schlagen, Teil 2: Komfortable E-Mail-Verschlüsselung mit S/MIME

Für die Kommentare gilt die Netiquette! Erwünscht sind weder diskriminierende bzw. beleidigende Kommentare noch solche, die zur Platzierung von Werbelinks dienen. Die Agentur belmedia GmbH behält sich vor, Kommentare ggf. nicht zu veröffentlichen.